Documentación de productos
SDK de MAM
Ver PDF

Directivas MDX para aplicaciones Android de terceros

March 11, 2024
Contribución de: 
C

En este artículo se describen las directivas MDX para aplicaciones Android de terceros. Puede cambiar la configuración de directivas en la consola de Citrix Endpoint Management.

Autenticación

Código de acceso de aplicación

Si la directiva está activada, se requiere un PIN o un código de acceso para desbloquear la aplicación cuando ésta se inicia o se reanuda después de un periodo de inactividad. Está activada de forma predeterminada.

Para configurar el temporizador de inactividad de todas las aplicaciones, establezca el valor de INACTIVITY_TIMER en minutos, en la ficha Parámetros, en Propiedades de cliente. El valor predeterminado del temporizador de inactividad es 60 minutos. Para inhabilitar el temporizador de inactividad, de modo que la petición de PIN o código de acceso aparezca solo cuando se inicie la aplicación, establezca un valor de cero.

Nota:

Si selecciona Acceso seguro sin conexión en la directiva Claves de cifrado, esta directiva se activa automáticamente.

Periodo máximo sin conexión (horas)

Define el periodo de tiempo máximo que una aplicación puede ejecutarse sin conexión sin tener que volver a iniciar sesión en la red para confirmar de nuevo los derechos y las directivas de actualización. El valor predeterminado es 168 horas (7 días). El período mínimo de tiempo es 1 hora.

El usuario un recordatorio para que inicie sesión 30, 15 y 5 minutos antes de que acabe el período. Después de la caducidad, la aplicación permanece bloqueada hasta que el usuario complete un inicio de sesión de red correctamente.

Citrix Gateway alternativo

Nota:

En la consola de Endpoint Management, este nombre de directiva es NetScaler Gateway alternativo.

Dirección de un Citrix Gateway (anteriormente conocido como NetScaler Gateway) específico alternativo que debe usarse para la autenticación y para sesiones de micro VPN con esta aplicación. Esta directiva es opcional. Cuando se usa con la directiva “Sesión con conexión requerida”, obliga a las aplicaciones a volver a autenticarse en la puerta de enlace específica. Estas puertas de enlace suelen tener directivas de administración de tráfico y requisitos de autenticación diferentes (mayor nivel de control). Si se deja vacío, se usa siempre la configuración del servidor. Está vacío de forma predeterminada.

Seguridad del dispositivo

Bloquear si está liberado por jailbreak o rooting

Si está activada, la aplicación se bloquea cuando el dispositivo se libera por jailbreak o por rooting. Si está desactivada, la aplicación se puede ejecutar incluso aunque el dispositivo esté liberado por jailbreak o por rooting. Está activada de forma predeterminada.

Requerir bloqueo de dispositivo

Si tiene el valor PIN o código de acceso de dispositivo, la aplicación se bloquea si el dispositivo no tiene configurado un PIN o un código de acceso. Si tiene el valor Patrón de bloqueo de pantalla del dispositivo, la aplicación se bloquea si el dispositivo no tiene configurado un patrón de bloqueo de pantalla. Si está desactivada, la aplicación tiene permiso para ejecutarse incluso aunque el dispositivo no tenga configurado un PIN, un código de acceso ni un patrón de bloqueo de pantalla. Está desactivada de forma predeterminada.

El valor PIN o código de acceso de dispositivo necesita la versión mínima Android 4.1 (Jelly Bean). Establecer la directiva en PIN o código de acceso de dispositivo impide que una aplicación se ejecute en versiones anteriores.

En los dispositivos Android, M, las opciones PIN o código de acceso de dispositivo y Patrón de bloqueo de pantalla del dispositivo tienen el mismo efecto: con cualquiera de ellas, la aplicación se bloquea si el dispositivo no tiene definido un PIN, un código de acceso o un patrón de bloqueo de pantalla.

Requisitos de la red

Requerir Wi-Fi

Si está activada, la aplicación se bloquea si el dispositivo no está conectado a una red Wi-Fi. Si está desactivada, la aplicación se puede ejecutar incluso aunque el dispositivo no tenga una conexión activa (Wi-Fi, 4G, 3G o LAN). Está desactivada de forma predeterminada.

Redes Wi-Fi permitidas

Una lista, delimitada por comas, de las redes Wi-Fi permitidas. Si el nombre de la red contiene caracteres no alfanuméricos (incluidas las comas), el nombre debe estar entre comillas dobles. La aplicación solo se ejecuta si se conecta a una de las redes de la lista. Si se deja en blanco, se permiten todas las redes. Esto no afecta a las conexiones a las redes de telefonía móvil. El valor predeterminado está en blanco.

Otros accesos

Período de gracia de actualización de aplicación (horas)

Define el período de gracia durante el cual se puede usar una aplicación después de que el sistema haya detectado una actualización disponible para ella. El valor predeterminado es 168 horas (7 días).

Nota:

No se recomienda usar el valor cero, porque esto impediría inmediatamente el uso de una aplicación que estuviera ejecutándose, sin advertir al usuario, hasta que se descargara e instalara la actualización. Esto podría provocar una situación en la que se forzaría al usuario que ejecuta la aplicación a salir de la misma (lo que podría hacer que perdiera su trabajo), para poder realizar la actualización requerida.

Borrar datos de la aplicación al bloquear

Borra los datos y reinicia la aplicación cuando ésta se bloquea. Si está desactivada, los datos de la aplicación no se borran cuando la aplicación se bloquea. Está desactivada de forma predeterminada.

Una aplicación puede bloquearse por cualquiera de las siguientes razones:

  • El usuario pierde el derecho a usar la aplicación
  • Se elimina la suscripción a la aplicación
  • Se elimina la cuenta
  • Se desinstala Secure Hub
  • Demasiados errores de autenticación en la aplicación
  • Se detecta que el dispositivo se ha liberado por jailbreak (por configuración de directiva)
  • El dispositivo se bloquea por otra acción administrativa

Período de sondeo activo (minutos)

Cuando se inicia una aplicación, el marco de MDX sondea Citrix Endpoint Management para determinar el estado actual de la aplicación y del dispositivo. Si se puede establecer la conexión con el servidor que ejecuta Endpoint Management, el marco devuelve información sobre el estado de bloqueo y borrado del dispositivo, además del estado de habilitación o inhabilitación de la aplicación. Tanto si se puede establecer la conexión con el servidor como si no, se programa un sondeo posterior según el intervalo que esté activo para el período de sondeos. Una vez finalizado el período, comienza un nuevo sondeo. El valor predeterminado es 60 minutos (1 hora).

Importante:

Establezca un valor menor solo para aplicaciones de alto riesgo, ya que el rendimiento podría verse afectado.

Comportamiento de dispositivos no conformes

Le permite elegir una acción cuando un dispositivo no cumple los requisitos de conformidad mínimos. Seleccione Permitir aplicación para que dicha aplicación se ejecute como es habitual. Seleccione Permitir aplicación después de la advertencia para que esta se ejecute después de que aparezca la advertencia. Selecciona Bloquear para impedir que la aplicación se ejecute. El valor predeterminado es Permitir aplicación después de la advertencia.

Migración de archivos públicos

Esta directiva solo se aplica cuando se activa la directiva Cifrado de archivos públicos (se cambia el valor Inhabilitada a Grupo de seguridad o Aplicación). Esta directiva solamente se puede aplicar a archivos públicos no cifrados existentes y se ocupa de especificar si estos archivos están cifrados. El valor predeterminado es Escritura (RO/RW).

Opciones:

  • Inhabilitado. No se cifran los archivos existentes.
  • Escritura (RO/RW). Cifra los archivos existentes solamente cuando se abren con acceso de solo lectura o de lectura y escritura.
  • Cualquiera. Cifra los archivos existentes cuando se abren en cualquier modo.

Nota:

  • Sobrescribir archivos nuevos o existentes que no estén cifrados implica cifrar los archivos de reemplazo en cada caso.
  • Cifrar un archivo público existente implica que otras aplicaciones con una clave de cifrado diferente no puedan acceder a ese archivo.

Grupo de seguridad

Deje este campo en blanco si desea que todas las aplicaciones móviles que administra Citrix Endpoint Management intercambien información entre sí. Defina un nombre de grupo de seguridad para administrar los parámetros de seguridad de conjuntos específicos de aplicaciones (por ejemplo, finanzas o recursos humanos).

Precaución:

Si cambia esta directiva para una aplicación, los usuarios deben eliminar la aplicación y volver a instalarla para que se aplique el cambio de directiva.

Dominios permitidos de Secure Web

Esta directiva solo está en vigor para los dominios no excluidos por la directiva de filtrado de URL. Agregue una lista separada por comas de nombres de dominio completos (FQDN) o sufijos DNS que se redirigirán a la aplicación Secure Web cuando el intercambio de documentos esté restringido.

Si esta directiva contiene entradas, solo las direcciones URL con campos de host que coincidan al menos con un elemento de la lista (coincidencias con los sufijos DNS) se redirigirá a la aplicación Secure Web cuando el intercambio de documentos esté restringido.

Todas las demás URL se envían al explorador web predeterminado de Android (sin pasar por la directiva de restricción de intercambio de documentos). Está vacío de forma predeterminada.

Interacción entre aplicaciones

Cortar y pegar

Bloquea, permite o restringe las operaciones de copiado y pegado de portapapeles para esta aplicación. Si tiene el valor Restringido, los datos de portapapeles copiados se colocan en un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Restringido.

Pegar

Bloquea, permite o restringe las operaciones de pegado del portapapeles para la aplicación. Si tiene el valor Restringido, los datos de portapapeles pegados se extraen de un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Sin restricciones.

Intercambio de documentos (Abrir en)

Bloquea, permite o restringe las operaciones de intercambio de documentos para la aplicación. Si tiene el valor Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX y con las aplicaciones que figuran en la directiva “Lista de excepciones de la apertura restringida”. Si tiene el valor Sin restricciones, defina las directivas “Cifrado de archivos privados” y “Cifrado de archivos públicos” en Inhabilitada para que los usuarios puedan abrir documentos en aplicaciones no empaquetadas. El valor predeterminado es Restringido.

Lista de excepciones de la apertura restringida

Cuando la directiva “Intercambio de documentos (Abrir en)” tiene el valor Restringido, se permite pasar esta lista de intents de Android a las aplicaciones no administradas. Para agregar filtros a la lista conviene estar familiarizado con los intents de Android. Un filtro puede especificar acción, paquete, esquema o cualquier combinación de éstos.

Ejemplos 

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
<!--NeedCopy-->

Precaución

Tenga en cuenta las implicaciones de seguridad de esta directiva. Esta lista de excepciones permite que el contenido viaje entre aplicaciones no administradas y el entorno MDX.

Intercambio de documentos entrantes (Abrir en)

Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para la aplicación. Si tiene el valor Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX. El valor predeterminado es Sin restricciones.

Si tiene el valor Bloqueado o Restringido, puede usar la directiva “Lista de intercambio de documentos entrantes permitidos” para indicar las aplicaciones que pueden enviar documentos a la aplicación. Para obtener información sobre otras interacciones de directivas, consulte la directiva “Bloquear galería”.

Opciones: Sin restricciones, Bloqueado o Restringido.

Restricciones de aplicaciones

Importante:

Debe tener en cuenta las implicaciones para la seguridad de las directivas que bloquean el acceso de las aplicaciones a las funciones del teléfono o no permiten que las aplicaciones usen esas funciones. Cuando estas directivas están desactivadas, el contenido puede viajar entre las aplicaciones no administradas y el entorno Secure.

Bloquear cámara

Si la directiva está activada, impide que una aplicación utilice directamente el hardware de la cámara. Está activada de forma predeterminada.

Bloquear galería

Si está activada, impide que una aplicación acceda a la Galería en el dispositivo. Está desactivada de forma predeterminada. Esta directiva funciona junto con la directiva “Intercambio de documentos entrantes (Abrir en)”.

  • Si la directiva “Intercambio de documentos entrantes (Abrir en)” tiene el valor Restringido, los usuarios que trabajen en la aplicación administrada no podrán adjuntar imágenes desde la galería, independientemente del parámetro de la directiva “Bloquear galería”.
  • Si la directiva “Intercambio de documentos entrantes (Abrir en)” tiene el valor Sin restricciones, los usuarios que trabajen en la aplicación administrada verán lo siguiente:
    • Si “Bloquear galería” no está activada, los usuarios pueden adjuntar imágenes.
    • Si “Bloquear galería” está activada, los usuarios no pueden adjuntar imágenes.

Bloquear grabación de micrófono

Si está activada, impide que una aplicación utilice directamente el hardware del micrófono. Está activada de forma predeterminada.

Bloquear servicios de localización

Si está activada, impide que una aplicación use los componentes de los servicios de localización geográfica (GPS o red). De forma predeterminada, está desactivada para Secure Mail.

Bloquear redacción de SMS

Si está activada, impide que una aplicación use la función de redacción de mensajes SMS que se usa para enviar mensajes SMS o mensajes de texto desde la aplicación. Está activada de forma predeterminada.

Bloquear captura de pantalla

Si está activada, impide que los usuarios tomen capturas de pantalla mientras se está ejecutando la aplicación. Además, cuando un usuario cambia de esa aplicación a otra, se oscurece la pantalla de la aplicación. Está activada de forma predeterminada.

Cuando se usa la funcionalidad NFC (Near Field Communication) de Android, algunas aplicaciones hacen una captura de pantalla antes de transmitir el contenido. Para habilitar esta función en una aplicación empaquetada, desactive la directiva Bloquear captura de pantalla.

Bloquear sensor del dispositivo

Si la directiva está activada, impide que una aplicación use los sensores del dispositivo (como un acelerómetro, un sensor de movimiento y un giróscopo). Está activada de forma predeterminada.

Bloquear NFC

Si la directiva está activada, impide que una aplicación use la comunicación NFC (Near Field Communications). Está activada de forma predeterminada.

Bloquear registros de aplicaciones

Si está activada, impide que una aplicación use la función de captura de registros de diagnóstico de las aplicaciones móviles de productividad. Si está desactivada, los registros de la aplicación se capturan y se pueden recopilar con la función de soporte para correo que tiene Secure Hub. Está desactivada de forma predeterminada.

Bloquear impresión

Si la directiva está activada, impide que una aplicación imprima datos. Si una aplicación tiene un comando Compartir, debe establecer “Intercambio de documentos (Abrir en)” en Restringido o Bloqueado para bloquear totalmente la impresión. Está activada de forma predeterminada.

Acceso a red de las aplicaciones

Acceso de red

Nota:

SSO web en túnel es el nombre de Secure Browser en los parámetros. El comportamiento es el mismo.

Las opciones de configuración son las siguientes:

  • Utilizar parámetros anteriores: Los valores predeterminados son los valores que había establecido en las directivas anteriores. Si cambia esta opción, no debe volver a ella. Tenga en cuenta también que los cambios en las nuevas directivas no surtirán efecto hasta que el usuario actualice la aplicación a 18.12.0 o posterior.
  • Bloqueada: Las API de red utilizadas por la aplicación fallarán. Como se indica en la directriz anterior, debe poder gestionar correctamente dicho fallo.
  • Sin restricciones: Todas las llamadas de red se envían directamente, no por túnel.
  • Túnel - VPN completo: Todo el tráfico proveniente de los túneles de las aplicaciones administradas se envía a través de Citrix Gateway.
  • Túnel - SSO web: Se reescribe la URL de HTTP/HTTPS. Esta opción solo permite el envío por túnel del tráfico HTTP y HTTPS. Una ventaja considerable del túnel y SSO web es la autenticación PKINIT y el tipo de inicio de sesión Single Sign-On (SSO) para el tráfico HTTP y HTTPS. En Android, esta opción no consume muchos recursos. Por lo tanto, es la opción preferida para operaciones del tipo exploración web.
  • Túnel VPN completo y SSO web permiten cambiar automáticamente entre modos VPN según sea necesario. Si las solicitudes de red fallan debido a una solicitud de autenticación que no se puede gestionar en un modo de VPN específico, se vuelven a intentar en un modo alternativo.

Si se selecciona uno de los modos en túnel, se vuelve a crear un túnel VPN por aplicación en este modo inicial hacia la red empresarial y se utiliza la configuración de túnel dividido de Citrix Gateway. Citrix recomienda el valor Túnel VPN completo para conexiones que usan certificados de cliente o SSL de extremo a extremo para conectarse a un recurso de la red empresarial. Citrix recomienda el valor Túnel - SSO web para conexiones que requieren Single Sign-On (SSO).

Sesión de micro VPN requerida

Si está activada, el usuario debe contar con una sesión activa y una conexión a la red de la empresa. Si está desactivada, no se necesita tener una sesión activa. El valor predeterminado es Usar parámetro anterior. Para las aplicaciones recién cargadas, está desactivada de forma predeterminada. La configuración que se seleccionó antes de la actualización a esta directiva permanece en vigor hasta que se seleccione una opción distinta de Usar parámetro anterior.

Periodo de gracia para requerir sesión con micro VPN (minutos)

Define el período de gracia durante el cual se puede seguir mediante una aplicación después de que el sistema haya detectado la existencia de una actualización disponible para la aplicación. El valor predeterminado es 168 horas (7 días).

Nota:

No se recomienda usar el valor cero, porque esto impediría inmediatamente el uso de una aplicación que estuviera ejecutándose, sin advertir al usuario, hasta que se descargara e instalara la actualización. Esto podría provocar una situación en la que se forzaría al usuario que ejecuta la aplicación a salir de la misma (lo que podría hacer que perdiera su trabajo), para poder realizar la actualización requerida.

Etiqueta de certificado

Cuando se usa con el servicio de integración de certificados de StoreFront, esta etiqueta identifica el certificado específico requerido para esta aplicación. Si no se suministra ninguna etiqueta, no se proporciona ningún certificado para usarlo con una infraestructura de clave pública (PKI). Está vacío de forma predeterminada (no se utiliza ningún certificado).

Lista de exclusión

Lista delimitada por comas de nombres de dominio completos FQDN o sufijos DNS a los que se puede acceder directamente en lugar de a través de una conexión VPN. Esto solo se aplica al modo SSO web en túnel cuando Citrix Gateway está configurado con el modo de túnel dividido inverso.

Bloquear conexiones localhost

Si está activada, las aplicaciones no pueden realizar conexiones de host local. Localhost es una dirección (como 127.0.0.1 o:: 1) para las comunicaciones que se producen localmente en el dispositivo. El localhost omite el hardware de la interfaz de red local y accede a los servicios de red que se ejecutan en el host. Si está desactivada, esta directiva anula la directiva de Acceso de red, lo que significa que las aplicaciones pueden conectarse fuera del contenedor seguro si el dispositivo está ejecutando un servidor proxy de manera local. Está desactivado de forma predeterminada.

Registros de aplicaciones

Salida de registros predeterminada

Determina los medios de salida predeterminados que utilizarán las funciones de registro de diagnósticos de la aplicación Citrix Endpoint Management. Las opciones disponibles son “archivo”, “consola” o ambos: “archivo,consola”. La opción predeterminada es archivo.

Nivel de registro predeterminado

Controla el nivel predeterminado de detalle del registro que ofrece la función de registro de diagnósticos de las aplicaciones móviles de productividad. Los números de nivel superior implican registros más detallados.

  • 0 - Nothing logged (Nada registrado)
  • 1 - Critical errors (Errores críticos)
  • 2 - Errors (Errores)
  • 3 - Warnings (Advertencias)
  • 4 - Informational messages (Mensajes informativos)
  • 5 - Detailed informational messages (Mensajes informativos detallados)
  • De 6 a 15 - Debug levels 1 through 10 (Niveles de depuración del 1 al 10)

El valor predeterminado es el nivel 4 (mensajes informativos).

Máximo de archivos de registros

Limita la cantidad de archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 2. El valor máximo es 8. El valor predeterminado es 2.

Tamaño máximo de archivo de registros

Limita el tamaño en megabytes (MB) de los archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 1 MB. El valor máximo es 5 MB. El valor predeterminado es 2 MB.

Geocerca de la aplicación

Longitud del punto central

Longitud (también conocida como “coordenada X”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada. Debe expresarse en formato de grados con signo negativo o positivo (DDD.dddd), por ejemplo, “-31.9635”. Las longitudes occidentales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.

Latitud del punto central

Latitud (también conocida como “coordenada Y”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en formato de grados con signo negativo o positivo (DDD.dddd), por ejemplo, “43.06581”. Las latitudes meridionales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.

Radio

El radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada. Debe expresarse en metros. Cuando se establece en cero, la geocerca se inhabilita. El valor predeterminado es 0 (inhabilitada).

Analytics

Nivel de detalle de Google Analytics

Citrix recopila datos de análisis para mejorar la calidad del producto. Al seleccionar Anónimo, usted no incluye información identificable de la empresa.

Directivas MDX para aplicaciones Android de terceros
March 11, 2024
Contribución de: 
C
March 11, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.